Autenticazione a due fattori obbligatoria per WordPress.org

Autenticazione a due fattori obbligatoria per WordPress.org

L'obbligo è stato annunciato dal team del CMS ed entrerà in vigore da ottobre: autenticazione a due fattori obbligatoria su WordPress.org.
Autenticazione a due fattori obbligatoria per WordPress.org
L'obbligo è stato annunciato dal team del CMS ed entrerà in vigore da ottobre: autenticazione a due fattori obbligatoria su WordPress.org.

A partire dal mese prossimo, più precisamente dall’1 ottobre 2024, gli sviluppatori in possesso di un account attivo su WordPress.org potranno accedervi solo utilizzando l’autenticazione a due fattori. La decisione è stata presa con l’obiettivo dichiarato di incrementare la sicurezza, riducendo attacchi e abusi, implementando un ulteriore livello di protezione.

WordPress.org e l’autenticazione a due fattori

Vale, ad esempio, per coloro che si collegano al portale per pubblicare aggiornamenti o cambiamenti ai tanti plugin messi a disposizione, oppure i temi, impiegati per personalizzare milioni di siti Web in tutto il mondo.

Trattandosi del CMS open source più utilizzato, un eventuale accesso non autorizzato potrebbe consentire a un malintenzionato di distribuire codice maligno su larga scala. A dire il vero, qualcosa di simile è già accaduto più volte in passato, di recente colpendo chi ha scelto di installare Popup Builder e LiteSpeed Cache (seppur sfruttando vulnerabilità individuate nei due plugin).

È possibile fare riferimento a una guida pubblicata su WordPress.org per attivare l’autenticazione a due fattori entro il termine stabilito, l’1 ottobre 2024.

Quando si rendono necessarie le password SVN

Non si tratta della sola novità annunciata dal team al lavoro sul CMS. C’è anche quella relativa alle password SVN (Subversion), che di fatto separano l’accesso alla possibilità di pubblicare cambiamenti a plugin e temi dalle credenziali dell’account principale. Per gestirle, crearle o disabilitarle è sufficiente accedere al proprio profilo.

Si rendono necessarie per chi utilizza, ad esempio, script come GitHub Action. L’impossibilità di impiegare l’autenticazione a due fattori anche per i repository di WordPress.org, portando all’introduzione di questo metodo, è così spiegata (ulteriori informazioni sul sito ufficiale).

A causa di limitazioni tecnica, l’autenticazione a due fattori non può essere applicata ai nostri esistenti repository di codice, ecco perché abbiamo scelto di rendere sicuro il codice su WordPress.org attraverso una combinazione di autenticazione a due fattori al livello dell’account, password SVN e altre funzionalità di sicurezza come Release Confirmations.

Fonte: WordPress
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
12 set 2024
Link copiato negli appunti